win server 2003, троян шифровальщик напакостил, помогите [HEUR:Trojan.Win32.Generic
]
Здравствуйте, добрые люди, помогите плиз, обнаружил на своем сервачке зашифрованные файлы с расширением *.crypt и текстовый файл в каждой папке "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt" с содержанием "Внимание! Все ваши файлы зашифрованы! Чтобы восстановить свои файлы и получить к ним доступ, свяжитесь с нами по email: [email protected] и ... бла бла бла ... 5 попыток ввода"
Запустил Dr.Web_CureIt!, он нашел trojan.encoder.94
В инструкции у вас написано Если у Вас 64-разрядная или серверная операционная система, выполнять п.1 данного раздела не следует. Переходите сразу к п.2. так и сделал, поэтому логов всего 2
Заранее спасибо за помощь
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Freezzone, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteAVUpdate;
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\tHWi18LN95g4l66.exe','');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\tHWi18LN95g4l66.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Alcmeter');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:
O4 - S-1-5-18 Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'SYSTEM')
O4 - .DEFAULT Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'Default user')
O4 - .DEFAULT User Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'Default user')
O4 - Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
O4 - Global Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
Добрый день, извините, что ответил не сразу, не было возможности, сделал всё, как вы просили, загрузил карантин, установил ie8, пофиксил строки и сделал логи
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:
O4 - S-1-5-18 Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'SYSTEM')
O4 - .DEFAULT Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'Default user')
O4 - .DEFAULT User Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'Default user')
Файлы эти текстовые тогда сами удалите из автозагрузки. Пароли от RDP и от всех учетных записей поменяйте на более стойкие если не хотите чтобы к вам опять зашли и что нибудь запустили.
Информация
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашим файлам.
Внимание!!!
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет
2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: